Örömmel mutatjuk be a kiberbiztonsági ellenálló képesség legújabb mérföldkövét, a MetaDefender Sandbox v2.0.0. Ez a kiadás nem csak egy frissített felhasználói felületet, hanem olyan hatékony funkciókat is hoz magával, amelyek közel 100%-ra növelik a MetaDefender Sandbox hatékonyságát - összességében több mint 30%-kal.
A Filescan.io új UX dizájnja jelentős előrelépést jelent, amely az esztétikai vonzerőt a fokozott funkcionalitással ötvözi. Az új, érzékenyebb felhasználói felület középpontjában a felhasználóközpontú megközelítés áll, valamint az új funkciók jövőbiztos alapja.
Új, egyszerűsített felhasználói felület
1. Tiszta és friss felhasználói felület egységes OPSWAT megjelenéssel és felfrissített jelentéstervezéssel. A legérdekesebb mutatók szűrhetők, így a felhasználók a legfontosabb információkra összpontosíthatnak.
2. A kezdőlapon elérhető fenyegetésvadász és elemzési funkciók, valamint a könnyebb használat érdekében egyszerűsített navigáció.
A fenyegetésvadászok könnyen elérhetik a fenyegetésvadász oldal egyszerűsített változatát a leggyakoribb szűrőkkel. Ez az oldal könnyen használható, a nevek, IP-k, tartományok és hash-ok új, kombinált keresőmezőjével. Számos szűrőhöz több érték is megengedett, a YARA-szabályokhoz kifinomultabb és pontosabb szűrő, valamint fenyegetésjelzők és MITRE ATT&CK technikák és taktikák.
A Sandbox telepítés támogatása offline rendszereken
Korábban a Sandbox telepítéséhez internetkapcsolatra volt szükség, de mostantól a telepítési folyamat offline rendszereken is elvégezhető egy előre összeállított telepítőcsomag* segítségével.
Az offline telepítő jellemzői és előnyei a következőkhöz Sandbox
Kinek előnyös a Sandbox v.2.0.0?
Továbbfejlesztett metaadatok és viselkedési információk kinyerése az MSI, LNK, AutoIT és ODF fájlokhoz
Mivel a rosszindulatú programok szerzői folyamatosan újítanak, egyre gyakoribbá vált a rosszindulatú kód terjesztése olyan összetettebb módszerekkel, mint az MSI telepítők és az LNK parancsikonok. A hagyományos sandbox környezetek nem biztos, hogy alkalmasak az összes információ kinyerésére és az ilyen fájltípusok teljes körű kezelésére, ami hiányosságokat okoz a fenyegetések észlelésében és elemzésében.
Rosszindulatú szoftverek felderítése
Számos rosszindulatú szoftverváltozatot MSI telepítőként vagy LNK parancsikonokon keresztül terjesztenek. Emellett a szkriptelő rosszindulatú szoftvereket futtatható fájlokba lehet fordítani, elrejtve a nyílt szövegű kódot. Az ilyen fájltípusok homokozóban történő elemzése segít az ilyen fenyegetések hatékonyabb azonosításában és mérséklésében.
Viselkedési betekintés
Annak megértése, hogy egy MSI telepítő hogyan módosítja a rendszert, vagy hogyan irányítja át vagy hajtja végre az LNK fájlt, értékes betekintést nyújthat a lehetséges sebezhetőségekbe vagy rosszindulatú viselkedésekbe. Továbbá, a MetaDefender Sandbox mostantól kivonatolja a makro kódú ODF fájlokat, amelyek saját nyelvvel rendelkeznek további viselkedés megvalósítására.
Ez a példa azt mutatja be, hogyan alkalmazzuk a megfelelő AutoIT-címkét a gyökér bemeneti fájlra:
Ezután láthatjuk, hogy az AutoIT szkriptet ugyanabból a PEEXE bemeneti fájlból kivonjuk és egyszerű szöveggé dekompiláljuk:
Javított mutatók és észlelések a már támogatott fájltípusok esetében
A számos új mutató között szerepelnek az Office-dokumentum ikonok és a PEEXE ikonok közötti hasonlósági egyezések. Gyakori, hogy a futtatható fájltípusokat a dokumentumokhoz használt ikonok és fájlkiterjesztések használatával próbálják álcázni. Mostantól a MetaDefender Sandbox a Dhash, egy képekhez bevezetett hasonlósági hash alapján jelöli az ilyen, futtatható fájlokban használt ikonokat.
Ellenőrzési naplózási keretrendszer a rendszergazdai beállításokhoz és a felhasználói hitelesítéshez
Az új ellenőrzési naplózási funkció rögzíti a rendszerben bekövetkező eseményeket. Ezek az események magukban foglalják a beállítások módosítását, a bejelentkezéseket és kijelentkezéseket, valamint a műveletek sikerességét vagy sikertelenségét. Az ellenőrzési napló rögzíti az eseményt, a felelős felhasználót, hiba esetén a hibaüzenetet, valamint adott esetben az előtte és utána állapotot.
Az ellenőrzési naplók típusai
Az ellenőrzési naplóknak több típusa létezik, amelyek mindegyike a rendszer egy adott komponensének eseményeit naplózza.
Admin beállítások
Az Admin Audit Logger naplózza az Admin Panelen történő minden eseményt, beleértve a beállítások módosítását; felhasználók vagy csoportok létrehozását, módosítását vagy törlését; stb.
Felhasználói hitelesítés
A Hitelesítési ellenőrzési naplózó naplózza a bejelentkezési és kijelentkezési eseményeket.
A kiadásban található funkciók és fejlesztések teljes listája a MetaDefender Sandbox v2.0.0.0 kiadási megjegyzésekben található.
* Jogi okokból ez a telepítőcsomag nem tölthető le közvetlenül a my.opswat.com oldalról. Az eszközök offline telepítéshez való előkészítéséhez egy Ubuntu 22.04-et futtató online számítógépre vagy virtuális gépre van szükség. Az előkészítési lépés elvégzése után az offline telepítés több offline rendszeren is elvégezhető ugyanazokkal az előre elkészített eszközökkel.
